Adatvédelmi Szabályzat - GDPR
Gorsium Alapfokú Művészeti Iskola
ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
A nemzeti köznevelésről szóló 2011. évi CXC. törvény 43. §-a alapján a Gorsium Alapfokú Művészeti Iskola Szervezeti és Működési Szabályzatának melléklete
Az adatvédelmi és adatkezelési szabályzat alkalmazása
A szervezet megnevezése: Gorsium Alapfokú Művészeti Iskola
(továbbiakban: Intézmény)
A szervezet székhelye: 8000 Székesfehérvár, Palotai út 51.
A szabályzat tartalmáért felelős személy: Kissné Révfalvi Andrea intézményvezető
A szabályzat hatályba lépésének dátuma: 2019. január
Ez a szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.
Az Intézményben az általános- és középiskolás korosztály képzése folyik az alábbi tanszakokon: Zeneművészet: szintetizátor-keyboard, zongora, ének, dob, gitár, basszusgitár.
Táncművészet: néptánc, balett. Képző és iparművészet
Az Intézményben folyó adatkezelés és továbbitás rendjét jelen adatkezelési szabályzat határozza meg.
Jelen adatkezelési szabályzatot a tanulók, szüleik megtekinthetik az iskola honlapján, valamint a gazdasági irodában. Tartalmáról és előírásairól a tanulókat és szüleiket szervezett formában tájékoztatni kelt, egyéb esetekben az Intézmény vezetője ad felvilágosítást
A szabályzat hatálya
E szabályzat visszavonásig érvényes.
A Szabályzat személyi hatálya kiterjed
a) az Intézmény valamennyi tanulójára, munkavállalójára, valamint az eseti jelleggel munkavégzésre igénybe vett dolgozóra,
b) az Intézmény vezetőire
c) az adatfeldolgozóra, valamint
d) a fentieken kívül mindazon jogi vagy természetes személyek, akik az Intézménnyel bármilyen szerződéses jogviszonyban állnak.
A Szabályzat tárgyi hatálya kiterjed
a) az Intézménynél nyilvántartott valamennyi adatra,
b) az informatikai rendszerben kezelt vagy feldolgozott adatra,
c) az adatkezelés eredményeképpen létrejött adatra,
d) az Intézménynél alkalmazott valamennyi hardver- és szoftvereszközre, valamint
e) az Intézmény tevékenységével kapcsolatos, működése során keletkező közérdekű adatra vagy közérdekből nyilvános adatra.
Az adatkezelési szabályzat betartása az intézmény igazgatójára, valamennyi munkavállalójára és tanulójára nézve kötelező érvényű.
Az adatkezelési szabályzat a fenntartó jóváhagyásának időpontjával lép hatályba, és határozatlan időre szól.
A jelen Adatvédelmi és Adatkezelési Szabályzatot a jóváhagyás dátumával fennálló és azt követően létesített tanulói jogviszony esetén a tanuló, a kiskorú tanuló szülője köteles tudomásul venni, a beiratkozáskor az intézmény adatkezelési tevékenységéről a tanulót és a szülőt írásban tájékoztatni kell. A tanulói adatkezelés időtartama az iskolába való jelentkezéstől kezdődően legfeljebb a tanulói jogviszony megszűnését követő harmadik év december 31-ig terjedhet. Kivételt képez ez alól a nem selejtezhető törzskönyv, a beírási napló, amelyekre vonatkozóan az irattári őrzési idő az irányadó. Az irattári őrzési Idő leteltével az adatkezelési meg kell szüntetni.
Az Adatvédelmi és Adatkezelési Szabályzatot a jóváhagyás dátumával fennálló és azt követő dátummal létesített munkavállalói jogviszony esetén a munkavállaló köteles tudomásul venni, erről a Munka törvénykönyve 46.§ (1) bekezdése szerint készült írásos tájékoztatóban figyelmét fel kell hívni.
A szabályzat célja
E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében az Intézmény egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését. A szervezet tevékenysége során teljes mértékben meg kíván felelni a személyes adatok kezelésére vonatkozó jogszabályi előírásoknak, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendeletében foglaltaknak.
A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával az Intézmény alkalmazottai képesek legyenek a természetes személyek – különösen a 16 év alatti gyermekek - adatai kezelését jogszerűen végezni.
Lényeges fogalmak, meghatározások
- a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete
- adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Az adatkezelés irányelvei
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.
A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet.
A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell.
A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
A szervezet adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
Az Intézmény vezetője határozza meg a dolgozók adatkezeléssel kapcsolatos feladatait.
Az Intézménnyel kapcsolatban lévő adatkezelésben résztvevő egyéb szervezetek, ill. vállalkozások megbízottjai kötelesek a megismert adatokat üzleti titokként megőrizni. Ezen szervezetek kötelesek Titoktartási nyilatkozatot tenni.
Személyes adatok kezelése
Az adatkezelésre csak akkor kerülhet sor, ha az érintett személy (vagy törvényes képviselője) egyértelmű megerősítő cselekedettel, például írásbeli - ideértve az elektronikus úton tett - vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatok kezeléséhez.
Hozzájárulásnak minősül az is, ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot illetve cselekedet tesz, amely az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.
Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról.
A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.
A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tenni.
Az adatkezelés jogszerűsége
A személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike teljesül:
• az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
• az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
• az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
• az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
• az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A fentiek értelmében az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.
Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie.
Az adatkezelést jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.
A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.
Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.
Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.
A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e ésszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.
Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység, hálózatbiztonsági incidenskezelő egységek, elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos.
A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését.
A személyes adatok hatóságok általi, hivatalosan elismert vallási szervezetek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében történő kezelése közérdeken alapulónak minősül.
Az érintett személy hozzájárulása, feltételek
• Amennyiben az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett vagy törvényes képviselője személyes adatainak kezeléséhez hozzájárult.
• Ha az érintett vagy törvényes képviselője a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell közölni.
• Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
• Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos, kivéve, ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez.
Az érintett személy tájékoztatása, jogai
A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. (2. sz. melléklet – Adatkezelési Tájékoztató)
Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon.
Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani.
Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és ésszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik,
Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléséhez adott hozzájárulásukat.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett számára biztosítani kell a jogot arra, hogy bármikor díjmentesen tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.
A személyes adatok felülvizsgálata
Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.
A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: 1 év.
Az adatkezelő feladatai
Az adatkezelő a jogszerű adatkezelés érdekében megfelelő belső adatvédelmi szabályokat alkalmaz. Ez a szabályozás kiterjed az adatkezelő hatáskörére és felelősségére.
Az adatkezelő kötelessége, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek.
Ezt a szabályozást az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.
Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre. E szabályzat alapján az egyéb belső szabályzatokat felülvizsgálja és szükség esetén naprakésszé teszi.
Az adatkezelő vagy az adatfeldolgozó megfelelő nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Minden adatkezelő és adatfeldolgozó köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.
Az Intézmény papíralapon, ill. számítógépes hálózaton végzi a személyes adatok tárolását. A papíralapú adattárolás kizárólag riasztórendszerrel ellátott, megfelelően zárható helyiségben történhet oly módon, hogy az illetéktelen személy által ne legyen hozzáférhető vagy megismerhető. Számítógép alapú adattárolás esetében a mindenkori képviselője (intézményvezetője) által kiadott információbiztonsági szabályzatok található előírásokat kell alkalmazni a személyes adatok védelmére. Az Intézmény az elektronikus információk védelme érdekében az Informatikai Biztonsági Szabályzat előírásait alkalmazza. (. számú melléklet)
Az informatikai biztonsági szabályzat felhasználókra vonatkozó felelősségvállalási nyilatkozatát az adatbiztonsági és adatvédelmi szabályzat melléklete tartalmazza. ( . számú melléklet)
Az adatkezelő köteles a papíralapon tárolt adatok biztonságáról oly módon gondoskodni, hogy azokba illetéktelen személyek semmilyen módon ne tekinthessenek be.
Köteles a személyes adatokat tartalmazó dokumentumok fizikai tárolását zárható szekrényben megoldani és gondoskodni köteles arról, hogy azokba betekintést kizárólag az arra jogosultsággal bíró személyek kapjanak.
Az adatkezeléssel kapcsolatos jogok
A tájékoztatás kéréshez való jog
Bármely személy a megadott elérhetőségeken keresztül tájékoztatást kérhet arról, hogy a szervezet milyen adatait, milyen jogalapon, milyen adatkezelési cél miatt, milyen forrásból, mennyi ideig kezeli. A kérelmére haladéktalanul, de legfeljebb 30 napon belül, a megadott elérhetőségre tájékoztatást kell küldeni.
A helyesbítéshez való jog
Bármely személy a megadott elérhetőségeken keresztül kérheti bármely adatának módosítását. Erről kérelmére haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és a megadott elérhetőségre tájékoztatást kell küldeni.
A törléshez való jog
Bármely személy a megadott elérhetőségeken keresztül kérheti adatának törlését. Kérelmére ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni.
A zároláshoz, korlátozáshoz való jog
Bármely személy a megadott elérhetőségeken keresztül kérheti adatának zárolását. A zárolás addig tart, amíg a megjelölt indok szükségessé teszi az adatok tárolását. A kérelemre ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni.
A tiltakozáshoz való jog
Bármely személy a megadott elérhetőségeken keresztül tiltakozhat az adatkezelés ellen. A tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül meg kell vizsgálni, annak megalapozottsága kérdésében döntést kell hozni és a döntésről a megadott elérhetőségre tájékoztatást kell küldeni.
Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság Postacím: 1530 Budapest, Pf.: 5.
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu URL https://naih.hu
koordináták: É 47°30'56''; K 18°59'57''
Az érintett a jogainak megsértése esetén az adatátvevő az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
Ügyviteli és nyilvántartás célú adatkezelés
A szervezet a tevékenységéhez tartozó esetekben, illetve ügyviteli és nyilvántartási célból személyes adatokat is kezelhet.
Az adatkezelés alapjául az érintett személy megfelelő tájékoztatásán alapuló önkéntes és határozott hozzájárulás szolgál. A részletes tájékoztatás – amely kiterjed az adatkezelés céljára, jogalapjára és időtartamára, valamint az érintett személy jogaira - után az érintettet figyelmeztetni kell az adatkezelés önkéntes jellegére. Az adatkezeléshez való hozzájárulást írásban rögzíteni kell.
Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:
- az Intézmény munkavállalóinak adatkezelése, amely jogszabályi kötelezettségen alapul;
- az Intézménnyel megbízási jogviszonyban álló személyek adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból;
- az Intézménnyel tanulói jogviszonyban álló személyek (törvényesképviselőik) adatkezelése kapcsolattartási és nyilvántartási célból;
- az Intézménnyel üzleti kapcsolatban álló más szervezetek, intézmények és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;
A fentiek szerinti adatkezelés egyrészről jogszabályi kötelezettségen alapul, másrészről pedig az érintett személy kifejezetten hozzájárult adatai kezeléséhez (például munkaszerződés céljából vagy weboldalon partnerként regisztrált, stb.)
Az Intézményhez írásos formában eljuttatott – személyes adatokat is tartalmazó – dokumentumok (például átjelentkezési kérelem, önéletrajz, álláskeresési jelentkezés, felvételi jelentkezés, stb.) esetében az érintett személy hozzájárulását vélelmezni kell. Az ügy lezárulta után – további felhasználásra vonatkozó hozzájárulás hiányában – az iratokat meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.
Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart.
Az ügyviteli és nyilvántartási célból történő adatkezelést - annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, - évente felül kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell.
Az ügyviteli és nyilvántartási célból történő adatkezelés esetében is biztosítani kell a jogszabályoknak való megfelelést.
Az Intézmény által kezelt adatok köre
1. Munkaviszonnyal kapcsolatos adatkezelések
1.1. Munkaügyi, személyzeti nyilvántartás
A munkavállalóktól csak olyan adatok kérhetők és tarthatók nyilván, illetve olyan munkaköri alkalmassági vizsgálatok (ideértve a munka alkalmassági orvosi vizsgálatot is) elvégzését lehet kérni, amelyet munkaviszonyra vonatkozó szabály ír elő, és amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez szükségesek és a munkavállaló személyiségi jogait nem sértik.
Az Intézmény jogszabályi kötelezettség, illetve munkáltatói jogos érdek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, fenntartása vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
1. név,
2. születési név,
3. születési helye, ideje,
4. anyja neve,
5. lakcíme,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
10. telefonszám,
11. e-mail cím,
12. személyazonosító igazolvány száma,
13. lakcímkártya száma,
14. bankszámlaszáma (ha a fizetés bankszámlára való átutalással történik),
16. munkába lépésének kezdő és befejező időpontja, valamint napi munkakezdésének és munkavégzésének időpontja,
17. munkaköre,
18. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
19. önéletrajz,
20. a munkabérrel, a bérfizetéssel, és egyéb juttatásokkal kapcsolatos adatok,
21. a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozás, illetve ennek jogosultságát igazoló okirat,
22. az előző munkaviszony megszűnésének módja, az erre vonatkozó iratok,
23. erkölcsi bizonyítvány (ha a munkakörhöz szükséges),
24. a munkaköri alkalmassági vizsgálatokra vonatkozó iratok,
25. önkéntes nyugdíj - és egészségpénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
26. külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezése és száma,
27. munkavállalót ért baleset jegyzőkönyvében rögzített adatok
28. saját személygépkocsi hivatali célra történő használata esetén a gépjármű törzskönyv másolata
29. ha a munkakör ellátásához jogosítvány szükséges, a jogosítvány száma és másolata.
Betegségre és szakszervezeti tagságára vonatkozó adatokat az Intézmény csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézmény vezetője, a munkáltatói jogkör gyakorlója. Az Intézmény munkaügyi feladatokat ellátó munkavállalói a HR munkatárs, a bérszámfejtést és könyvelést végző munkatársak és adatfeldolgozók kizárólag az adott feladat ellátásához szükséges személyes adatokat ismerhetik meg.
A személyes adatok tárolásának időtartama a munkaviszony megszűnését követő 50 év.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka Törvénykönyvén, a társadalombiztosítási-, adó- és nyugdíjjogszabályokon, és a munkáltató jogos érdekeinek érvényesítésén alapul.
A munkáltató a munkaszerződés megkötésével egyidejűleg az Adatkezelési Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogairól.
1.2. Alkalmassági vizsgálatokkal - ideértve a munkaköri alkalmassági orvosi vizsgálatot is - kapcsolatos adatkezelés
A munkavállalóval csak olyan alkalmassági vizsgálat végeztethető el, amelyet jogszabály, vagy munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt a munkavállalókat részletesen tájékoztatni kell többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik, és miért kell. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és számáról, valamint a pontos jogszabályhelyről is.
A kezelhető személyes adatok köre: a munkaköri, valamint az egészségügyi alkalmasság ténye, és az ehhez szükséges feltételek.
Az adatkezelés jogalapja: jogszabály (a Munka törvénykönyve, a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet) és az Intézmény jogos érdeke.
A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.), illetve a címzettek kategóriái: a vizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára (adott munkakör ellátására) alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.
1.3. Felvételre jelentkező személyek adatainak kezelése
A kezelhető személyes adatok köre: a természetes személy neve, születési helye, ideje, anyja neve, lakcíme, képesítési adatok, az erre vonatkozó bizonyítvány-másolatok, fénykép, telefonszám, e-mail cím, önéletrajz, a benyújtott pályázat, a jelentkezőről készített munkáltatói értékelés (feljegyzés).
A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztott személlyel munkaszerződés megkötése. Az érintettet az elutasító döntés meghozatalát követő 15 napon belül tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
Az adatkezelés jogalapja: az érintett hozzájárulása.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézménynél a munkáltatói jogok gyakorlására jogosult vezető, a munkaügyi, személyzeti feladatokat ellátó munkavállalók.
A személyes adatok tárolásának időtartama: a jelentkezés, pályázat elbírálását követő 15 nap. A ki nem választott jelentkezők személyes adatait a 16. napon törölni kell. Törölni kell annak a jelentkezőnek az adatait is, aki jelentkezését, pályázatát visszavonta.
Az Intézmény csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a fenti határidőn túl a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően – a 15 napos határidő leteltéig - kell kérni a jelentkezőktől.
1.4. Munkára alkalmas állapot vizsgálata
Az adatkezelés célja: Az Intézmény működésének helyein a munkavállaló csak biztonságos munkavégzésre alkalmas állapotban, a munkavédelemmel kapcsolatos utasítások és előírások betartásával tartózkodhat és végezhet munkát. A munkavállaló köteles a munkatársaival együttműködni, és munkáját úgy végezni, hogy az mások, vagy saját testi épségét ne veszélyeztesse.
A Intézmény teljes területén tilos a munkavállalóknak alkoholos befolyásoltság, vagy egyéb tudatmódosító szer hatása alatt tartózkodniuk. Mivel ezen tudatmódosító szerek hatása alatt a
munkaképesség nem biztosítható, a Munka törvénykönyvéről szóló 2012.évi I. tv, valamint a munkavédelemről szóló 1993.évi XCIII. tv. alapján a munkáltató köteles meggyőződni róla, hogy a munkavállalók betartják-e az alkoholfogyasztás tilalmával kapcsolatos szabályokat. A munkáltató ellenőrzési gyakorlata nem járhat az emberi méltóság megsértésével. A munkavállaló alkoholszondás ellenőrzésével kapcsolatosan jegyzőkönyvet kell felvenni.
A kezelt adatok köre: Munkavállaló neve, anyja neve, születési helye, ideje, beosztása, ellenőrzés eredménye
Az adatkezelés jogalapja: A munkavédelemről szóló 1993.évi XCIII. tv 60. § valamint a munka törvénykönyvéről szóló 2012.évi I. tv 52. §
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézménynél a munkáltatói jogok gyakorlására jogosult vezető
Az adatkezelés időtartama: Az ellenőrzés tényéből származtatott jogok és kötelességek által megalapozott igények érvényesítési lehetőségeiből fakadó határidő.
1.4.1. Megváltozott munkaképességű munkavállalók
A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos szabályok vonatkoznak, mint az Intézmény egyéb alkalmazottjaira, rájuk vonatkozóan azonban bővebb a kezelt adatok köre. Az Intézmény törvényi előírás alapján kezeli a megváltozott munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat.
2. A KIR rendszer keretében történő adatkezelés
A KIR központi nyilvántartás keretében a nemzetgazdasági szintű tervezéshez szükséges fenntartói, intézményi, foglalkoztatási, gyermek- és tanulói adatokat tartalmazza.
A KIR keretében folyó adatkezelés tekintetében az adatkezelő a hivatal.
A nyilvántartott adatok körét a köznevelési törvény 43-44.-ai rögzítik. Ezek az adatok kötelezően nyilvántartandók az alábbiak szerint.
2.1. Munkavállalók esetében
2.1.1. Az intézmény kezeli a Közoktatás Információs Rendszerében nyilvántartott, a jogszabály által meghatározott munkavállalói adatokat:
1. nevét, anyja nevét,
2. születési helyét és idejét,
3. oktatási azonosító számát, pedagógusigazolványa számát,
4. végzettségére és szakképzettségére vonatkozó adatokat: felsőoktatási intézmény nevét, a
5. diploma számát, a végzettséget, szakképzettséget, a végzettség, szakképzettség, a pedagógus
6. szakvizsga, PhD megszerzésének idejét,
7. munkaköre megnevezését,
8. a munkáltató nevét, címét, valamint OM azonosítóját,
9. munkavégzésének helyét,
10. jogviszonya kezdetének idejét, megszűnésének jogcímét és idejét,
11. vezetői beosztását,
12. besorolását,
13. jogviszonya, munkaviszonya időtartamát,
14. munkaidejének mértékét,
15. tartós távollétének időtartamát.
16. óraadó esetében az oktatott tantárgy, foglalkozás megnevezését.
2.1.2 Kezeli továbbá a munkavállalással és alkalmassággal kapcsolatos további adatokat
1. családi állapota, gyermekei születési ideje, egyéb eltartottak száma, az eltartás kezdete,
2. állampolgárság,
3. TAJ száma, adóazonosító jele,
4. a munkavállalók bankszámlájának száma,
5. családi állapota, gyermekeinek születési ideje,
6. állandó lakcíme és tartózkodási helye, telefonszáma,
7. munkaviszonyra, munkavállalói jogviszonyra vonatkozó adatok, Így különösen
- iskolai végzettség, szakképesítés, alkalmazási feltételek igazolása,
- munkában töltött idő. munkaviszonyba beszámítható idő, besorolással kapcsolatos adatok, korábbi munkahelyek megnevezése, a megszűnés módja és időpontja,
- a pedagógus továbbképzésben való részvétellel, a várakozási idő csökkentésével kapcsolatos adatok, idegennyelv-ismerete,
- a munkavállaló jelenlegi besorolása, annak időpontja, FEOR-száma,
- a munkavállaló minősítésének időpontja és tartalma,
- a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma, kelte,
- az alkalmazott egészségügyi alkalmassága,
- alkalmazott által kapott kitüntetések, díjak és más elismerések, címek,
- munkakör. munkakörbe nem tartozó feladatra történő megbízás, munkavégzésre irányulótovábbi jogviszony, fegyelmi büntetés, kártérítésre kötelezés. munkavégzés ideje, túlmunka ideje, munkabér. illetmény, továbbá az azokat terhelő tartozás és annak jogosultja,
- szabadság, kiadott szabadság,
- alkalmazott részére történő kifizetések és azokjogcímei,
- az alkalmazott részére adott juttatások és azokjogcímei,
- az alkalmazott munkáltatóval szemben fennálló tartozásai, azokjogcímei,
- a többi adat az érintett hozzájárulásával.
2.2 A tanulók nyilvántartott és kezelt adatai
2.2.1 Az intézmény kezeli a Közoktatás Információs Rendszerében nyilvántartott, a jogszabály által meghatározott tanulói adatokat
1. nevét,
2. nemét,
3. születési helyét és idejét,
4. társadalombiztosítási azonosító jelét,
5. oktatási azonosító számát,
6. anyja nevét,
7. lakóhelyét, tartózkodási helyét,
8. állampolgárságát,
9. sajátos nevelési igénye, beilleszkedési, tanulási és magatartási nehézsége tényét,
10. diákigazolványának számát,
11. jogviszonyával kapcsolatban azt, hogy magántanuló-e, tanköteles-e, jogviszonya
12. szünetelésének kezdetét és befejezésének idejét,
13. jogviszonya keletkezésének, megszűnésének jogcímét és idejét,
14. nevelési-oktatási intézményének nevét, címét, OM azonosítóját,
15. jogviszonyát megalapozó köznevelési alapfeladatot,
16. nevelésének, oktatásának helyét,
17. felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatokat,
18. tanulmányai várható befejezésének idejét,
19. évfolyamát.
2.2.2. Kezeli továbbá a tanulói jogviszonnyal kapcsolatos további adatokat
1. a tanuló állampolgársága,
2. állandó lakásának és tartózkodási helyének címe és telefonszáma,
3. nem magyar állampolgár esetén a tartózkodás jogcíme és a tartózkodásra jogosító okirat
4. megnevezése, száma,
5. szülő neve, állandó lakásának és tartózkodási helyének címe, telefonszáma,
6. a tanulói jogviszonnyal kapcsolatos adatokat, így különösen, a tanuló személyi igazolványának száma, többi adatot az érintett hozzájárulásával.
A tanulók személyi adatainak kezelője kizárólag az intézmény vezetője lehet.
Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ha az adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik, a személyes adatok technikai védelmének biztosítása érdekében az adatkezelőnek és az adat továbbítójának külön védelmi intézkedéseket (ellenőrzés, jelszavas védelem, az elküldés után a hálózatról való törlés, stb.) kell tennie.
A tanulói jogviszony létesítésekor az intézmény vezetője gondoskodik a tanulók személyi adatainak összeállításáról, s azt a vonatkozó jogszabályok és jelen szabályzat szerint kezeli. A diákok személyi adatai között az 2.2 fejezetben felsoroltakon kívül más anyag nem tárolható.
A személyi adatokat az alábbi nyilvántartásokban kell őrizni:
- összesített tanulói nyilvántartás,
- törzskönyvek,
- bizonyitványok,
- beírási napló,
- osztálynaplók.
Az összesített tanulói nyilvántartás
Célja az iskolában tanuló diákok legfontosabb adatainak naprakész tárolása, a szükséges adatok biztosítása, igazolások kiállítása, tanügy-igazgatási feladatok folyamatos ellátása céljából. Az összesített tanulói nyilvántartás a következő adatokat tartalmazhatja:
- a tanuló neve, osztálya,
- a tanuló azonosító száma,
- születési helye és ideje, anyja neve,
- állandó lakcíme, tartózkodási helye, telefonszáma,
- a tanuló iskolájának megnevezése.
A tanulói nyilvántartás minden év szeptember 1-jéig első alkalommal papír alapon készül, majd a továbbiakban digitális módszerrel vezethető. A számítógéppel vezetett tanulói nyilvántartás folyamatosan pontos és teljes vezetéséért az Intézmény vezetője a felelős. Tárolásának módjával biztosítani kell, hogy az adatokhoz illetéktelen személy ne férhessen hozzá. Az elektronikus formában vezetett tanulói nyilvántartás másodpéldányban történő tárolását biztosítani kell.
A tanuló és szülője a tanuló adataiban bekövetkező változásokról 8 napon belül köteles tájékoztatni az intézményt, akinek vezetője 8 napon belül köteles intézkedni az adatok átvezetéséről.
Felvétel az intézménybe
A tanuló intézménybe történő felvételekor a jelen szabályzat mellékletét képező „Beiratkozási lap” kerül a tanuló vagy törvényes képviselője részéről kitöltésre.
A Beiratkozási lapon feltüntetésre kerülnek az alábbi adatok, melyeket az Intézmény a jogviszony fennállását követő 5 évig őriz meg.
- A tanuló neve
- Születési helye, ideje
- Anyja leánykori neve
- Általános, illetve középiskolájának neve, címe és osztálya
- Gondviselő neve
- Gondviselő lakcíme
- Gondviselő telefonszáma
A beiratkozási lap aláírásával a gondviselő (törvényes képviselő) hozzájárul a saját és kiskorú gyermeke adatainak Intézmény általi kezeléséhez.
Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv 5.§ alapján az érintett önkéntes hozzájárulása és az Intézmény feladatainak ellátása, az Intézmény jogos érdeke.
A felvételkor megadott adatokat az Intézmény működési körén belül szabadon használhatja és a megadott adatokat felhasználhatja a Zeneiskolai tájékoztatófüzet, a beírási naplóba, az egyéni naplóba és a csoportos foglalkozás naplójába (Mulasztási, osztályozási és mulasztási naplóba) történő bejegyzésekor.
Zeneiskolai növendékek nyilvántartási lapja
A zeneiskolai tanuló jogviszony alatt az Intézmény a „Zeneiskolai növendék nyilvántartási lapján az alábbi adatokat tartja nyilván:
- A tanuló neve
- Tanszaka
- Beiratkozás időpontja
- Távozás időpontja
- Születési helye, ideje
- Általános, illetve középiskolájának neve, címe
- Tanulószobai látogatás ténye
- Osztályfőnöke neve
- Gondviselő (apa, anya) neve
- Gondviselő(k) telefonszáma
Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv 5.§ alapján az érintett önkéntes hozzájárulása és az Intézmény feladatainak ellátása, az Intézmény jogos érdeke.
Az adatkezelés időtartama: az Intézmény a nyilvántartási lapot a jogviszony fennállását követő 5 évig őrzi meg.
3 Az adatok továbbításának rendje
3.1 A pedagógusok adatainak továbbítása
Az intézmény alkalmazottainak a 2.1 fejezet szerint nyilvántartott adatai továbbíthatók a fenntartónak. a kifizetőhelynek, bíróságnak, rendőrségnek, ügyészségnek, helyi önkormányzatnak, államigazgatási szervnek, a munkavégzésre vonatkozó rendelkezések ellenőrzésére jogosultaknak, a nemzetbiztonsági szolgálatnak.
3.2 A tanulók adatainak továbbítása
Az intézmény csak azokat a tanulói adatokat továbbítja, amelyeket jogszabály rendel el. Az elrendelést a Köznevelési törvény 44. §-a rögzíti.
Ennek legfontosabb és leggyakoribb esetei az alábbiak:
A tanulók adatai továbbíthatók:
a) fenntartó, bíróság, rendőrség. ügyészség, önkormányzat, államigazgatási szerv, nemzetbiztonsági szolgálat részére valamennyi adat,
b) a magatartás, szorgalom és tudás értékelésével kapcsolatos adatok az érintett osztályon belül, a nevelőtestületen belül, a szülőnek, a vizsgabizottságnak, iskolaváltás esetén az új iskolának, a szakmai ellenőrzés végzőjének,
c) a tanuló iskolai felvételével, átvételével kapcsolatosan az érintett iskolához.
d) az állami vizsgák alapján kiadott bizonyítványokat nyilvántartó szervezetnek a bizonyítványok nyilvántartása céljából.
4. Üzleti partnerekhez, egyedi szerződésekhez kapcsolódó adatkezelések
4.1. Szerződéses kapcsolatban álló partnerek adatainak kezelése
Az adatkezelés jogcíme: szerződéskötést megelőzően megteendő intézkedések, szerződés megkötése, teljesítése, megszűnése
Az érintettek köre: a vevőként, szállítóként, illetve az Intézménnyel egyéb üzleti kapcsolatban álló vagy üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatai.
A kezelt adatok köre: az érintett neve, születési neve, születési helye, ideje, anyja neve, lakcíme, adóazonosító jele, adószáma, vállalkozói igazolvány száma, személyi igazolvány száma, lakcíme, székhelye, telefonszáma, e-mail címe, honlap-címe, bankszámlaszáma
Gazdálkodó szervezet szerződő fél esetében a vezető tisztségviselő vagy cégvezető, illetve a törvényes képviselő, valamint a részéről eljáró meghatalmazott természetes személy családi és utónevét, tisztségét, lakcímét, telefonszámát, email címét.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézmény bérleti, illetve egyéb szerződéseket nyilvántartó dolgozói, a könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói és az Intézmény vezetője.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
Az adatkezelés jogalapja: a Ptk.-ban és az adójogszabályokban foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése, valamint szerződéskötést megelőzően megteendő intézkedések (szerződés megkötése, szerződés módosítása) jogcímen alapul.
Az érintett személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződéskötési szándék, illetve szerződés teljesítése jogcímen alapul. A tájékoztatás megtörténhet magában a szerződésben, illetve az annak mellékletét képező tájékoztatóban vagy a honlapon közzétett adatkezelési tájékoztatóban is.
Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról is tájékoztatni kell.
A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat melléklete tartalmazza.
4.2. Jogi személy partnerek természetes személy képviselőinek személyes adatai
A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.
A személyes adatok kezelésének célja: az Intézmény jogi személy partnerével szerződés megkötése, teljesítése, üzleti kapcsolattartás.
Az adatkezelés jogalapja: az Intézmény jogos érdeke, a partnerrel fennálló üzleti kapcsolat
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.), illetve a címzettek kategóriái: az Intézmény szerződést kötő (nyilvántartó), valamint a könyvelési feladatokat ellátó munkavállalói.
A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 év. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
Az adatfelvételi tájékoztató lap mintáját jelen Szabályzat melléklete tartalmazza. Ezen tájékoztatót az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
5. Jogi kötelezettségen alapuló adatkezelés
5.1. Adatkezelés az adó- és számviteli kötelezettségek, adatszolgáltatás teljesítése céljából
Az Intézmény kezeli a vevőként, szállítóként, bérbeadóként, megbízottként, szolgáltatás igénybe vevőjeként, illetve vele egyéb üzleti kapcsolatban álló vagy üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
A kezelhető személyes adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma.
Az adatkezelés jogalapja: az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény, foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése, valamint szerződéskötést megelőzően megteendő intézkedések (szerződés megkötése), szerződés-módosítás esetén: szerződés teljesítése) jogcímen alapul.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézmény szerződés megkötésével,- nyilvántartásával kapcsolatos feladatokat-, továbbá a könyvelési,- adózási feladatokat ellátó megbízottjai és munkavállalói és az Intézmény vezetője.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 7 év. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
5.2. Kifizetői adatkezelés
Az Intézmény jogi kötelezettség teljesítése jogcímén, törvényben (jogszabályban) előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, tagok, foglalkoztatottak, egyéb juttatásban részesülők és szerződéses kapcsolatban állók – adótörvényekben előírt személyes adatait, akikkel kifizetői (az adózás rendjéről szóló 2017. évi CL. törvény (Art. 7.§ 31.) kapcsolatban áll.
A kezelt adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma, társadalombiztosítási azonosító jele (TAJ szám), ha az érintett nyugdíjas, a nyugdíjas törzsszáma. Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, az Intézmény kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§ (2) b./) tagságra vonatkozó adatait az adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
Az adatkezelés jogcíme: az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény), a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvényben foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 7 év.
A személyes adatok címzettjei (azok a személyek, akik a személyes adatokat gyűjthetik, megismerhetik, rögzíthetik, rendszerezhetik, tárolhatják, kezelhetik, törölhetik, továbbíthatják, stb.): az Intézmény adózási-, bérszámfejtési-, társadalombiztosítási- (kifizetői), könyvelői feladatait ellátó munkavállalói.
5. Oktatási, ill. tájékoztatási célzattal készített fotó ill. videofelvételek készítése
Az adatkezelés célja: Az Intézmény művészetoktatási területen folyó munkavégzése, a rendezvényszervezés során a szervezett eseményekről tájékoztató, ill. reklámfilmet, valamint fotókat készíthet, melyen az Intézmény diákjai és dolgozói szerepelhetnek. A diákokat és dolgozókat az Intézmény nem kötelezi a felvételeken történő szereplésre, ez kizárólag a munkavállaló egyéni döntése. Az Intézmény kijelenti, hogy a felvételek készítésének célja nem a diák vagy oktató munkavégzés közbeni tevékenységének megfigyelése, és a diákot vagy oktatót nem ábrázolja negatív formában. Az Intézmény kijelenti, hogy a felvétel nem sérti a rajta szereplők személyhez fűződő, a jó hírnév, a becsület, illetve az emberi méltóság védelméhez fűződő jogait.
A kezelt adatok köre: Fotó, videó, ill. hangfelvétel
Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv 5.§ alapján az érintett önkéntes hozzájárulása.
Az adatkezelés időtartama: A felvétel készítés okául szolgáló rendezvény, vagy az oktatás céljának eléréséig.
6. Marketing tevékenység, bemutatók
Az adatkezelés célja: Az Intézmény az iskola tevékenységének bemutatása céljából bemutatókat, fellépéseket szervez, reklámtevékenységet folytat, melynek célja az Intézmény magas szintű ismertségének biztosítása, az oktatási tevékenységének népszerűsítése, a tehetségek megismertetése. Ennek érdekében az Intézmény a diákok és oktatók, valamint az iskola tevékenységét ismertető bemutatóanyagokat biztosít, támogatott rendezvényeket szervez,
A kezelt adatok köre: Név, cím, e-mail cím, telefonszám, szakmai információk
Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv 5.§ alapján az érintett önkéntes hozzájárulása.
Az adatkezelés időtartama: Direkt marketing hozzájárulás esetében a felhasználó hozzájárulásának visszavonásáig de maximum 24 hónapig. Számviteli bizonylat keletkezése esetén a Számvitelről szóló 2000. évi C. törvény előírásainak megfelelően 8 év.
Egyéb célból történő adatkezelés
Amennyiben a szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.
Az Intézmény az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény 15. § alapján az adatkezelésekről és a hozzájuk kapcsolódó adattovábbítási folyamatról adatkezelési és adattovábbítási nyilvántartást vezet
Az adatkezeléssel foglalkozó munkavállalók körének meghatalmazása
Az intézmény adatkezelési tevékenységéért, jelen adatkezelési szabályzat karbantartásáért az intézmény vezetője a felelős. Jogkörének gyakorlására az ügyek alább szabályozott körében helyetteseit, az egyes pozíciókat betöltő pedagógusokat, a gazdasági vezetőt és az iskolatitkárt hatalmazza meg.
A nem szabályozott területeken az adatkezeléssel kapcsolatos feladatokat az intézmény vezetője személyesen vagy utasítási jogkörét alkalmazva saját felelősségével látja el.
Adatbiztonság
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.
Adatvédelmi incidens
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést.
Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani lehet, hogy az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Az érintett személyt késedelem nélkül tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár.
Ellenőrzés
Az adatvédelemmel kapcsolatos előírások, így különösen ezen szabályzat rendelkezéseinek betartását az Intézménynél az adatvédelmi feladatokat ellátó személy folyamatosan köteles ellenőrizni.
Az adatvédelmi ellenőrzés főbb szempontjai:
a) az adatkezelés személyi feltételeinek megléte, az adatkezelést végző személyek felkészültsége, leterheltsége,
b) az adatkezelés tárgyi feltételei rendelkezésre állása,
c) annak vizsgálata, hogy az adatkezelő ismeri-e az adatkezelések jogalapját, célját, határidejét,
d) az elektronikus és papíralapú adathordozók tárolása, biztonsága,
e) az adatkezelés módja,
f) a szervezeti egységekhez érkezett adatvédelmi megkeresésekre adott válaszok jogszerűsége,
g) egyéb, adatvédelmet érintő rendszerek, különösen a beléptető, biztonsági kamerarendszer, valamint az elektronikus nyilvántartási rendszerek üzemeltetésének jogszerűsége.
Az adatkezelőnél a kezelt adatok ellenőrzését az Intézmény adatvédelmi feladatokkal megbízott munkatársa rendszeresen elvégzi, a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.
Az adatkezelés alapjául szolgáló jogszabályok
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.)
a természetes személyeknek a személyes adatok kezelése tekintetében történő
védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – a Szabályzatban: Rendelet)
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
- A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény.
- A közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet.
- 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
- 2003. évi C. törvény az elektronikus hírközlésről.
- 2011. évi CXC. törvény a Nemzeti köznevelésről.
Székesfehérvár, 2019. január
……………………………………………….. intézményvezető
Mellékletek:
1. számú melléklet: Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez
2. számú melléklet: Beiratkozási lap
3. számú melléklet: Adatkezelési tájékoztató az érintett természetes személy jogairól személyes adatai kezelése vonatkozásában
4. számú melléklet: Tájékoztató a munkavállaló részére alkalmassági vizsgálaton való részvételről
5. számú melléklet: Tájékoztató a szerződés megkötésével kapcsolatos személyes adatok kezeléséről
6. számú melléklet: Tájékoztató jogi személy szerződéses partnerek természetes személy képviselőinek elérhetőségi adatai kezeléséről
7. számú melléklet: A munkavállaló nyilatkozata az Adatkezelési Szabályzat megismeréséről, alkalmazásáról és titoktartási kötelezettség vállalásáról
8. számú melléklet: Informatikai Biztonsági Szabályzat
9. számú melléklet: Informatikai Biztonsági Szabályzat Felhasználói nyilatkozat
10. számú melléklet: Adatfeldolgozóval kötendő megállapodás minta
1. számú melléklet
ADATKÉRŐ LAP
SZEMÉLYES ADATOK HOZZÁJÁRULÁSON ALAPULÓ KEZELÉSÉHEZ
az érintett neve:
születési hely, idő:
anyja neve:
lakcíme:
telefonszáma:
e-mail címe:
további személyes adatok: (ha az adatkezeléshez további adat kell, pl. adószám, TAJ szám, stb.)
INFORMÁCIÓK:
az adatkezelő neve:
székhelye: Gorsium Alapfokú Művészeti Iskola
8000 Székesfehérvár, Palotai út 51.
képviselő neve: Kissné Révfalvi Andrea intézményvezető
az adatkezelés célja:
az adatkezelés jogalapja: az érintett hozzájárulása
a személyes adatok címzettjei: (akik megtekinthetik) Adatvédelmi szabályzatban rögzítettek szerint
a személyes adatok tárolásának időtartama: Jogszabályban és az Adatvédelmi szabályzatban rögzítettek szerint
A Gorsium Alapfokú Művészeti Iskola által rendelkezésemre bocsátott Adatvédelmi Tájékoztató megismerését követően jelen nyilatkozatommal kifejezetten hozzájárulok ahhoz, hogy az Intézmény az alábbi személyes adataimat az Intézmény működésében felmerülő intézkedések problémamentes végrehajtása céljából kezelje az Adatvédelmi és Adatkezelési Szabályzatban meghatározottak szerint.
Alapfogalmak:
Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Adatkezelés: a személyes adatokon végzett bármely művelet, így pl. gyűjtés, rögzítés, rendszerezés, tárolás, betekintés, felhasználás, közlés, továbbítás, törlés, megsemmisítés; valamint az adatok további felhasználásának megakadályozása.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja vagy az általa megbízott adatfeldolgozóval végrehajtatja.
A fenti információkat és tájékoztatást tudomásul vettem, fent megadott személyes adataim fentiekben megjelölt célú kezeléséhez önkéntesen, minden külső befolyás nélkül beleegyezésemet adom.
Kelt, 20 év hó nap
aláírás
2. számú melléklet
Gorsium Alapfokú Művészetoktatási Intézmény 8000 Székesfehérvár, Palotai út 51.
Tel/fax: +36 22 324-192
BEIRATKOZÁSI LAP
a 20…./20…. tanévre
Művészeti ág (a megfelelőt kérjük aláhúzni):
zeneművészet táncművészet képző és iparművészet
Tanszak: ………………………………………….. Szaktanár: ………………….…………………….. Az előző tanévben alapfokú művészetoktatási intézményben elvégzett osztály:…………………..…….
Név:……………………………………………………………………………………………..………... Oktatási azonosító (11 jegyű szám): …………………………………………………………..…………. Születési hely, idő:…………………………………………………………………………….…………. Anyja leánykori neve:………………………………………………………………………….………… Gondviselő neve: ………………………………………………………………………………..……….. Lakcím: ………………………………………………………………………………………….……….
Telefonszám: …………………………………………………………………………………..………… Gyakorlási ehetőség (a megfelelőt kérjük aláhúzni): van nincs
NYILATKOZATOK
Alulírott (szülő, gondviselő neve) ………………………………………………………………
nyilatkozom, hogy fent nevezett gyermekemet beiratom a Gorsium Alapfokú Művészetoktatási Intézménybe. Az alapfokú művészetoktatást a vonatkozó jogszabályoknak megfelelően térítési díj ellenében veszem igénybe. Kötelezettséget vállalok arra, hogy gyermekem a tanév végéig a választott tanszakon részt vesz az oktatásban (kivételes indok: költözés, betegség, stb.)
Gyermekem más alapfokú művészetoktatási intézménybe jár / nem jár (kérjük aláhúzni)
Egyben hozzájárulok ahhoz, hogy gyermekem után az állami normatív támogatást az intézmény igénybe vegye.
Gyermekem nappali tagozatú oktatásban nem vesz részt / részt vesz (kérjük aláhúzni)
Általános/középiskola neve, címe és osztálya:…………………………………………………………..
…………………………………………………………………………………………………................
Amennyiben fent nevezett tanuló több tanszakra is beiratkozott, kérem, hogy az állami normatív támogatást a tanszakon igényelje az intézmény.
Adatvédelmi nyilatkozat:
A Gorsium Alapfokú Művészeti Iskola által rendelkezésemre bocsátott Adatvédelmi Tájékoztató megismerését követően jelen nyilatkozatommal kifejezetten hozzájárulok ahhoz, hogy az Intézmény a gyermekem adatait és a saját személyes adataimat az Intézmény szabályszerű működése céljából kezelje az Adatvédelmi és Adatkezelési Szabályzatában meghatározottak szerint.
Alapfogalmak:
Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Adatkezelés: a személyes adatokon végzett bármely művelet, így pl. gyűjtés, rögzítés, rendszerezés, tárolás, betekintés, felhasználás, közlés, továbbítás, törlés, megsemmisítés; valamint az adatok további felhasználásának megakadályozása.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja vagy az általa megbízott adatfeldolgozóval végrehajtatja.
A fenti információkat és tájékoztatást tudomásul vettem, fenti személyes adataimat helyesen adtam meg, adataim fentiekben megjelölt célú kezeléséhez önkéntesen, minden külső befolyás nélkül beleegyezésemet adom.
Székesfehérvár, 20…, ………………………………
………………………………………………….. szülő aláírása
3. számú melléklet
ADATKEZELÉSI TÁJÉKOZTATÓ
A jelen tájékoztató rendelkezéseinek kialakításakor a Gorsium Alapfokú Művészeti Iskola (továbbiakban: Intézmény) különös tekintettel vette figyelembe az Európai Parlament és a Tanács 2016/679 Rendeletében (GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk) rendelkezéseit.
1. BEVEZETŐ
Az Intézmény a rendelkezésére bocsátott személyes adatot bizalmasan, a hatályos jogszabályi előírásokkal összhangban kezeli. Az Intézmény megőrzi a birtokába jutott adatok, különösen a személyes és különleges adatok bizalmasságát, gondoskodik azok biztonságáról és megteszi az ehhez szükséges technikai és szervezési intézkedéseket.
Az Intézmény kialakítja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló jogszabályok adat- és titokvédelmi rendelkezéseinek érvényre juttatásához szükséges eljárási szabályokat és felügyeli azok betartását.
Az Intézmény elkötelezett a személyes adatok védelme iránt, és saját hatáskörében megteszi a megfelelő és szükséges intézkedéseket annak érdekében, hogy a feladatai ellátása során a vonatkozó magyar és európai jogszabályoknak megfelelően járjon el. Az Intézmény - annak ellenére, hogy személyes adatokat kizárólag jogszabályban előírt feladatai teljesítése érdekében kezeli - elkötelezett aziránt is, hogy ügyfelei minél teljesebb körű tájékoztatást kapjanak az őket érintő adatkezelésekről. E tájékoztató is ezt a célt szolgálja.
2. FOGALOMMEGHATÁROZÁSOK
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; adatfeldolgozás: személyes adatoknak a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv által az adatkezelő nevében végzett adatkezelési tevékenysége;
különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, valamint az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat és a bűnügyi személyes adat;
személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
3. ADATKEZELÉS
Az Intézmény az Általános Adatvédelmi Rendeletben foglaltaknak megfelelően csak meghatározott célból és meghatározott jogalap alapján kezelhet személyes adatokat. Személyes
adatot az Intézmény csak az érintett hozzájárulása alapján vagy akkor kezel, ha az adatkezelés a jogszerű adatkezelés jogszabályban előírt feltételeinek megfelel (az adatkezelés szerződés, jogi kötelezettség teljesítéséhez, létfontosságú érdek védelme miatt, közérdekű vagy közhatalmi feladat gyakorlásához, illetve az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítéséhez szükséges). Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Az Intézmény vagy megbízottja a tevékenysége során tudomására jutott titoknak minősülő adatokat - a jogszabályokban meghatározott eseteket kivéve - csak akkor hozhatja harmadik személy tudomására, ha a titoktartási kötelezettség alól az érintett személytől - a kiszolgáltatható titokkört megjelölve - írásban felmentést kapott.
4. ADATBIZTONSÁG
Az Intézmény az Info tv. rendelkezéseinek figyelembe vételével az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor jelentős technikai és szervezeti biztonsági intézkedéseket vezetett be annak érdekében, hogy biztonságosan kezelje ügyfelei személyes adatait, illetve megakadályozza a jogosulatlan hozzáférést, az adatokkal való visszaélést és az adatvesztést. A személyes adatok tárolása biztonságos módon történik, emellett az Intézmény, mint adatkezelő és a megbízásából eljáró adatfeldolgozók minden szükséges technológiai és szervezési intézkedést megtesznek az ügyfelek adatainak elvesztése, az adatkezelési célnak nem megfelelő használata, engedély nélküli megismerése, kiadása, megváltoztatása vagy rongálása ellen.
5. ADATFELDOLGOZÁS
Az Intézmény, mint adatkezelő és a megbízásából eljáró adatfeldolgozó az adatkezelési és adatfeldolgozói tevékenységeik során jogszabályokban előírtaknak és a magyar és európai uniós joggyakorlatnak megfelelően járnak el. Adatkezelőként az Intézmény csak olyan adatfeldolgozókat vesz igénybe, amelyek megfelelő garanciákat nyújtanak - különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében -- arra vonatkozóan, hogy a jogszabályi követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is. A tulajdonosok és egyéb szerződő partnerek személyes adatait az Intézmény rendelkezése szerint adatfeldolgozóként kezelik.
6. SZEMÉLYES ADATOKRÓL VALÓ RENDELKEZÉS
Minden érintettnek jogában áll, hogy tájékoztatást kérjen az Intézmény által kezelt személyes adatai állományáról, az adatkezelés céljairól, valamint az adatállományt kezelő személyéről és székhelyéről. Amennyiben az adatkezelés az érintett hozzájárulásán alapul, az érintett jogosult a hozzájárulást bármely időpontban visszavonni. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.
6.1 Hozzáférési jog
Az érintett jogosult arra, hogy kérésére visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Az érintett kérésére az Intézmény rendelkezésére bocsátja az általa kezelt személyes adatai másolatát és egyidejűleg tájékoztatja az általános adatvédelmi rendeletben meghatározott információkról (különösen: adatkezelés célja, kezelt adatok kategóriái, azon címzettek kategóriái, akivel az adatok közlésre kerülnek, az adatkezelés időtartama).
6.2 Helyesbítéshez való jog
Az Intézmény az érintett kérésére késedelem nélkül helyesbíti az általa kezelt és az érintettre vonatkozó, pontatlan személyes adatokat.
6.3 A törléshez és az elfeledtetéshez való jog
Az Intézmény az általános adatvédelmi rendelet 17. cikkében, az ott meghatározott esetekben az érintett kifejezett kérésére, illetve külön kérés nélkül is, késedelem nélkül törli az érintett általa
kezelt adatait. Ha az érintett az Intézmény által nyilvánosságra hozott személyes adatai törlését kéri, akkor az Intézmény megtesz minden ésszerűen elvárható lépést annak érdekében, hogy tájékoztassa az érintett adatait kezelő adatkezelőket arról, hogy az érintett az adatai törlését kérte.
6.4 Adatkezelés korlátozásához való jog
Az Intézmény az érintett kérésére az általános adatvédelmi rendelet 18. cikkében meghatározott rendelkezésekre figyelemmel korlátozottan kezeli az érintett személyes adatait. Ha az adatkezelés az érintett kérésére korlátozás alá esik, az ilyen személyes adatokat a biztosító a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből kezeli.
6.5 Adathordozhatósághoz való jog
Az általános adatvédelmi rendelet 20. cikkével összhangban az Intézmény a szerződésen vagy hozzájáruláson alapuló automatizált módon történő adatkezelés esetén az érintett kérésére az érintettre vonatkozó, és korábban általa az Intézmény rendelkezésére bocsátott személyes adatait géppel olvasható formátumban kiadja az érintett részére, továbbá az érintett kérésére, amennyiben az technikailag megvalósítható, ezeket az adatokat egy másik adatkezelőnek közvetlenül továbbítja.
6.6 Tiltakozáshoz való jog
Amennyiben az Intézmény jogos érdek alapján kezeli az érintett személyes adatát, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból az általános adatvédelmi rendelet 21. cikke szerinti esetben bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, csak jogszabályban meghatározott kivételes esetben. Ha az Intézmény az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
7. TÁJÉKOZTATÁS, ADATVÉDELMI INCIDENS, JOGORVOSLAT
Az Intézmény az általa kezelt adatok kezelésére vonatkozóan rendszeresen frissített adatvédelmi tájékoztatót ad ki, amelyet honlapján tesz közzé. Amennyiben adatvédelmi incidens történik (a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés), az adatkezelő az incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak. Az érintett, ha megítélése szerint a személyes adatai kezelése sérti az általános adatvédelmi rendeletet, jogosult panaszt tenni az illetékes felügyeleti hatóságnál, vagy a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállam adatvédelmi felügyeleti hatóságánál.
A tekintetében az illetékes felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; www.naih.hu)
Székesfehérvár, 2019. január
………………………………………………..
intézményvezető
4. számú mellékelt
TÁJÉKOZTATÓ
a munkavállaló részére alkalmassági vizsgálaton való részvételről I.
A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.
II.
Az alkalmassági vizsgálatot előíró jogszabály a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet.
E rendelet alkalmazásában:
a) munkaköri alkalmassági vizsgálat: annak megállapítása, hogy egy meghatározott munkakörben és munkahelyen végzett tevékenység által okozott megterhelés a vizsgált személy számára milyen igénybevételt jelent és annak képes-e megfelelni;
b) szakmai alkalmassági vizsgálat: a szakma elsajátításának megkezdését megelőző, illetőleg a képzés és az átképzés időszakában az alkalmasság véleményezése érdekében végzett orvosi vizsgálat;
c) személyi higiénés alkalmassági vizsgálat: annak megállapítása, hogy a járványügyi szempontból kiemelt munkaterületen munkát végző személy fertőző megbetegedése mások egészségét nem veszélyezteti, illetve meghatározott esetekben kórokozó hordozása mások egészségét nem veszélyezteti;
d) munkát végző személy: aki nem szervezett munkavégzés keretében járványügyi szempontból kiemelt munkaterületen tevékenységet folytat;
A Rendelet 3.§-a szabályozza, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul:
3. § (1) Az alkalmasság véleményezése:
a) a munkaköri alkalmasság esetében a munkáltató által megjelölt munkakörre,
b) a szakmai alkalmasság esetében az adott szakmára, illetve szakmai jellegű képzésre; az álláskereső esetében szakmai jellegű képzésre, átképzésre, az adott személy számára ellátható foglalkozási csoportokra vagy szakmák megjelölésére,
c) a személyi higiénés alkalmasság esetében a járványügyi szempontból kiemelt jelentőségű munkaterületen folytatott tevékenységre
történik.
(2) A munkaköri és a szakmai alkalmasság orvosi vizsgálata lehet előzetes, időszakos és soron kívüli. A munkaköri alkalmasság vizsgálata és véleményezése a 8.§-ban meghatározott esetekben záróvizsgálattal egészül ki. A szakképző intézménybe jelentkező tanulónál a beiskolázáskor - a pedagógus, a szülő, illetve a tanuló kérésére - pályaválasztási tanácsadás céljából iskolaorvosi vizsgálat végezhető.
(3) A személyi higiénés alkalmassági vizsgálat lehet előzetes, időszakos és soron kívüli.
(4) A munkaköri és a szakmai alkalmasság vizsgálatának célja annak elbírálása, hogy a munkavállaló, illetve a tanuló vagy a hallgató, az álláskereső:
a) a munkavégzésből és a munkakörnyezetből eredő megterhelés által okozott igénybevétele
aa) egészségét, testi, illetve lelki épségét nem veszélyezteti-e, ab) nem befolyásolja-e egészségi állapotát kedvezőtlenül,
ac) nem okozhatja-e utódai testi, szellemi, pszichés fejlődésének károsodását;
b) esetleges idült betegsége vagy fogyatékossága a munkakör ellátása, illetőleg a szakma elsajátítása és gyakorlása során nem idéz-e elő baleseti veszélyt;
c) a járványügyi szempontból kiemelt jelentőségű munkakörökben, illetve szakmákban történő munkavégzés esetén személyi higiénés és egészségi állapota nem veszélyezteti-e mások egészségét, foglalkoztatható-e az adott munkakörben;
d) milyen munkakörben, illetve szakmában és milyen feltételek mellett foglalkoztatható állapotrosszabbodás veszélye nélkül, amennyiben átmenetileg vagy véglegesen megváltozott munkaképességű;
e) foglalkoztatható-e tovább jelenlegi munkakörében, illetve folytathatja-e tanulmányait a választott szakmában;
f) szenved-e olyan betegségben, amely miatt munkaköre ellátása során rendszeres foglalkozás-egészségügyi ellenőrzést igényel;
g) külföldön történő munkavégzés esetén egészségi szempontból várhatóan alkalmas-e az adott országban a megjelölt szakmai feladat ellátására.
(5) A személyi higiénés alkalmasság vizsgálatának célja annak elbírálása, hogy a munkát végző személy egészségi állapota - a tevékenység gyakorlása esetén - a járványügyi szempontból kiemelt jelentőségű munkaterületeken nem veszélyezteti-e mások egészségét, folytathat-e tevékenységet az adott munkaterületen.
(6) A munkaköri, szakmai, illetve személyi higiénés alkalmasság vizsgálata, valamint a foglalkoztathatóság szakvéleményezése nem terjed ki a munkaképesség változás mértékének, a rokkantság fokának meghatározására, valamint a szellemi képesség és az elmeállapot véleményezésére.
Záradék:
Alulírott munkavállaló aláírásommal igazolom, hogy jelen Tájékoztatót elolvastam, annak rendelkezéseit megértettem és tudomásul vettem.
Kelt, 20 év hó nap
Név: Aláírás:
5. számú melléklet
a ………………….-án megkötött (módosított) szerződés
… számú melléklete
Tájékoztató
a szerződés megkötésével kapcsolatos személyes adatok kezeléséről
Az Intézmény az Európai Parlament és a Tanács (EU) 2016. április 27-i 2016/679 számú Rendeletének - a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) –, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben foglalt kötelezettségeinek eleget téve, mint adatkezelő tájékoztatja a vele szerződést kötő felet, hogy az alább ismertetett adatait kezeli:
a) természetes személy szerződő fél neve
b) természetes személyazonosító adatait (szerződött természetes személy neve, előző neve, születési helye, ideje, anyja neve),
c) lakcímét;
d) telefonszámát
e) egyéb ………………………………..
Az adatkezelés jogalapja: a Ptk-ban, az adójogszabályokban foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése, valamint szerződéskötést megelőzően megteendő intézkedések (szerződés megkötése), [szerződés-módosítás esetén: szerződés teljesítése] jogcímen alapul.
A személyes adatok címzettjei: (az adatokat megismerheti, kezelheti): az Intézmény szerződés megkötésével, nyilvántartásával kapcsolatos feladatokat, továbbá a könyvelési,- adózási feladatokat ellátó munkavállalók, és adatfeldolgozók.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év
Az Intézmény tájékoztatja, hogy az adatkezeléssel kapcsolatos részletes szabályokat, az Intézmény székhelyén elérhető Adatkezelési Tájékoztató tartalmazza.
A Jelen tájékoztatóban foglaltakat megismertem és tudomásul veszem.
……………………………. 2018. …………………………..
……..…………………………… (eladó, vevő, stb.),
6. számú melléklet
TÁJÉKOZATÓ
JOGI SZEMÉLY SZERZŐDÉSES PARTNEREK TERMÉSZETES SZEMÉLY KÉPVISELŐINEK, MEGHATALMAZOTTJAINAK ELÉRHETŐSÉGI ADATAI KEZELÉSÉRŐL
az érintett neve:
beosztása:
a képviselt jogi személy neve: székhelye:
telefonszáma:
e-mail címe:
INFORMÁCIÓK:
az adatkezelő neve:
székhelye: Gorsium Alapfokú Művészeti Iskola
8000 Székesfehérvár, Palotai út 51.
képviselő neve: Kissné Révfalvi Andrea intézményvezető
az adatkezelés célja: Szerződés teljesítése, üzleti kapcsolattartás
az adatkezelés jogalapja: az érintett hozzájárulása
a személyes adatok címzettjei: (akik megtekinthetik) Az Intézmény szerződéskötéssel kapcsolatos feladatokat ellátó
munkavállalói
a személyes adatok tárolásának időtartama: Az üzleti kapcsolat-, illetve az érintett
képviselői minőségének fennállását követő 5 év
A Gorsium Alapfokú Művészeti Iskola által rendelkezésemre bocsátott Adatvédelmi Tájékoztató megismerését követően jelen nyilatkozatommal kifejezetten hozzájárulok ahhoz, hogy az Intézmény az alábbi személyes adataimat az Intézmény működésében felmerülő intézkedések problémamentes végrehajtása céljából kezelje az Adatvédelmi és Adatkezelési Szabályzatban meghatározottak szerint.
A fenti információkat és tájékoztatást tudomásul vettem, fent megadott személyes adataim fentiekben megjelölt célú kezeléséhez önkéntesen, minden külső befolyás nélkül beleegyezésemet adom.
Kelt, 20 év hó nap
Aláírás
7. számú melléklet
A MUNKAVÁLLALÓ NYILATKOZATA AZ ADATKEZELÉSI SZABÁLYZAT MEGISMERÉSÉRŐL, ALKALMAZÁSÁRÓL, ÉS TITOKTARTÁSI KÖTELEZETTSÉG VÁLLALÁSÁRÓL
Alulírott munkavállaló kijelenti, hogy a munkáltató Adatkezelési Szabályzatát és Adatkezelési Tájékoztatóját megismerte. Tudomásul veszi, hogy a munkáltató az Adatkezelési Szabályzat szerint meghatározott személyes adatait kezeli az ott meghatározott célból és az ott meghatározott időtartamig.
A munkavállaló a munkavégzése során megismert személyes adatok kezelése, stb. során köteles alkalmazni és érvényesíteni az Adatkezelési Szabályzat rendelkezéseit.
Az Adatkezelési Szabályzat betartása és érvényesítése a munkaviszonyból származó lényeges kötelezettségnek minősül, megsértése munkajogi jogkövetkezményeket von maga után.
A munkavállaló kötelezettséget vállal arra, hogy a munkáltatónál végzett munkája során tudomásomra jutott személyes adatokat kizárólag a munkaköri feladatai teljesítése céljából kezeli és továbbítja, más célra nem használja, azokat illetéktelen személlyel nem közli, és nem adja át, a személyes adatokhoz jogosulatlan hozzáférést nem enged, a személyes adatokat nyilvánosságra nem hozza. A munkavállaló tudomásul veszi, hogy ez a titoktartási kötelezettség munkaviszonya vagy munkavégzésre irányuló egyéb jogviszonya fennállását követően is korlátlan ideig terheli. A munkavállaló tudomásul veszi, hogy a titoktartási kötelezettség megsértése a munkaviszonyból származó lényeges kötelezettség megszegésének minősül, amelyre a munkáltató munkajogi jogkövetkezményeket alkalmaz.
Kelt, 20 év hó nap
a munkavállaló aláírása
8. számú melléklet
GORSIUM Alapfokú Művészeti Iskola (8000 Székesfehérvár, Palotai út 51.)
INFORMATIKAI BIZTONSÁGI SZABÁLYZAT
A jelen Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) célja, hogy a Gorsium Alapfokú Művészeti Iskolánál (a továbbiakban: Intézmény) működtetett informatikai rendszerre vonatkozóan a biztonsági intézkedéseket szabályozza, meghatározza a számítástechnikai eszközök beszerzésének és használatának, a szoftverkészítés és alkalmazás, az adatkezelés folyamatának biztonsági szabályait, továbbá az informatikai szerepköröket, és előírja az egyes szereplők informatikai biztonságot érintő feladatait.
Az IBSZ által biztosítható:
A titok-, és vagyonvédelemre vonatkozó előírások betartása. A személyiségi jogok kellő védelme.
Az üzemeltetett számítástechnikai eszközök, hardverek, szoftverek, hálózatok, stb. rendeltetésszerű használata és megfelelő üzemvitele.
Az üzembiztonságot szolgáló műszaki fenntartási és karbantartási teendők elvégzése.
A számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő károk megelőzése, illetve minimális mértékűre való csökkentése.
Az adatállományok formai és tartalmi helyességének és épségének megőrzése.
Az alkalmazott szoftverek sértetlenségének, megbízható működésének biztosítása. Az adatállományok biztonságos mentése.
A felhasznált és keletkezett írásos dokumentumok megfelelő kezelésének biztosítása. A jogosultság és a hozzáférés rendszerének dokumentált kialakítása.
A célok elérése érdekében a védelemnek működnie kell az egyes rendszerelemek fennállásának teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül a felszámolásukig, és azt követően az elévülés, illetve a selejtezhetőség időtartama alatt.
Alapul vett irányelvek, követendő szabványok, ajánlások
Az IBSZ mint az információvédelem szabályozásának elsődleges eszköze, az Intézmény működési területén szükségszerűen a hatályos jogszabályok, szabványok, ajánlások előírásain alapul.
A szabályzat felülvizsgálatának rendje, hatálya
A felülvizsgálatot évente vagy ha a működés rendjében változás történik az intézményvezető végzi el, s a felülvizsgálat tényét ellenőrzési lapon dokumentálja, melyet irattárba helyez.
Felülvizsgálat szükséges jogszabályváltozások esetén is, a jogszabályokban jelzett határidőig. A szabályzatot és módosításait a tulajdonos hagyja jóvá.
Az IBSZ területi hatálya
Az IBSZ rendelkezéseinek teljes körű és értelemszerű alkalmazása az Intézménynek a székhelyén, telephelyein elhelyezett valamennyi szervezeti egységére és munkatársra nézve kötelező.
AZ IBSZ személyi hatálya
Az IBSZ személyi hatálya kiterjed az Intézmény minden felhasználójára. Az Intézménnyel nem jogviszonyban állók esetében gondoskodni kell arról a szerződéskötőnek, harmadik személyeknek stb., hogy a szerződésekben az IBSZ megfelelő előírásai kötelezettségként megjelenjenek.
Az IBSZ tárgyi hatálya
Az IBSZ tárgyi hatálya kiterjed a hivatal valamennyi telephelyén lévő:
• az Intézmény szervezeti egységei által használt, vagy általuk tárolt valamennyi informatikai berendezésre, beleértve a berendezések műszaki dokumentációját is;
• rendszerprogramokra és a felhasználói programokra;
• védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk, valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól függetlenül;
• adathordozókra, azok tárolására és felhasználására, beleértve a feldolgozásra beérkezés és a felhasználókhoz történő eljuttatás folyamatait is;
• az informatikai folyamatban szereplő valamennyi dokumentációra.
Az IBSZ rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljes körűen alkalmazni kell. A szabályozás hatályba lépésének időpontjában már üzemeltetett rendszer esetében egyedi eltérés az informatikai biztonsági felügyelő jóváhagyásával meghatározott, átmeneti időszakra megengedhető.
Felhasználói biztonság szabályai
Az Intézmény a munkavégzéshez megfelelő számítástechnikai hátteret biztosít, a biztosított eszközöket azonban kizárólag munkavégzés céljára lehet használni.
A biztosított eszközök az Intézmény tulajdonát képezik.
Eszközökkel kapcsolatos szabályok
Amennyiben a felhasználó bármilyen biztonsági problémát vagy hibát észlel azonnal köteles értesíteni a munkahelyi vezetőjét.
Tilos az eszközöket és azok részeit áthelyezni, burkolatukat, csatlakozásaikat megbontani.
Tilos az eszközök közelében enni, inni, dohányozni.
Jelszókezeléssel kapcsolatos szabályok
A felhasználó 3 havonta köteles jelszavait lecserélni.
A jelszó minimum 8 karakter hosszú, (kicsi és nagy) betűket és számokat is kell tartalmaznia.
A jelszó nem írható le semmilyen jól látható, vagy könnyen hozzáférhető helyre.
Tilos a névre szóló jelszó kiadása más felhasználók számára.
Szoftverekkel kapcsolatos szabályok
Az Intézmény kizárólag jogtiszta szoftverekkel dolgozik.
A jogtisztaság biztosítása az intézményvezetés felelősségé, ezért tilos bármely más felhasználónak bármilyen terjesztési engedéllyel (freeware, shareware, stb.) rendelkező szoftvert, az intézmény tulajdonát képező számítógépre feltelepíteni.
Adatvédelmi szabályok
A felhasználók számára tilos bármilyen adathordozóra adatokat lementeniük a számítógépükről vagy a szerverekről. Külső adathordozót (Pen drive, CD/DVD stb.), csak a munkahelyi vezető engedélyével csatlakoztatható a számítástechnikai eszközökhöz.
A munkahely elhagyása esetén a számítógépet zárolni kell a "Windows" + "L" billentyűk egyidejű lenyomásával, illetve olyan képernyővédőt kell beállítani, melyek jelszóval engedik csak a gép feloldását.
A személyes, munkához közvetlenül nem kapcsolódó állományok tárolása mind a munkaállomásokon, mind a szervereken nem engedélyezett.
A számítógépen tilos mappa megosztást definiá1ni, működtetni.
Internethasználattal kapcsolatos szabályok
Tilos a munkahelyen minden valós idejű kommunikációs program használata. Ide tartozik az MSN, ICQ, IRC, és egyéb hasonló üzenetküldő használata. Tilos továbbá web- felü1eten keresztül elérhető valós idejű üzenetküldő úgynevezett "chat" program használata.
Tilos a munkahelyi internet kapcsolaton keresztül minden olyan program és egyéb fájlletöltése, ami nem a munkavégzéshez szükséges.
Fájlok külső szerverekre való feltöltése minden esetben tiltott.
Tilos minden internetes "online" sugárzott műsor (ide tartoznak a rádió, televízió műsorok) hallgatása, megtekintése az internet sávszélesség indokolatlan csökkentése miatt.
Nem üzleti célú (webfelü1et alapú) levelezés nem engedélyezett munkaidőn belül a munkahelyi számítógépeken.
Mindenféle fájlmegosztó alkalmazás használata az Intézmény számítástechnikai eszközein tiltott.
Vírusvédelmi szabályok
A számítógépen vírus ellenőrző program fut, mely a gép működése közben automatikusan figyeli a rendszert. A vírus ellenőrző programot leállítani és annak működésébe beavatkozni szigorúan tilos.
Minden fájl művelet előtt ez a program ellenőrzi a megnyitott fájlokat.
Vírustalálat esetében a munkát azonnali hatállyal fel kell függeszteni, a számítógépet az adathálózatról le kell választani és megkezdeni az okok fe1tárását és a helyreállítást.
Jelen szabályzat 2019 én lép hatályba.
Székesfehérvár, 2019. január
………………………………………..
intézményvezető
9. számú melléklet
Informatikai Biztonsági Szabályzat Felhasználói nyilatkozat Felelősségi vállalás nyilatkozat
Alulírott, mint a Gorsium Alapfokú Művészeti Iskola - székhelye: 8000 Székesfehérvár, Palotai út
51. - (továbbiakban: Intézmény) munkavállalója kijelentem, a feladataim ellátásához szükséges információ biztonsági ismeretekkel rendelkezem. Tudomásul veszem és elfogadom, hogy az Intézmény információs rendszereiben kezelt alkalmazások, fájlok, levelek bizalmasak, az Intézmény tulajdonát képezik.
Jelen nyilatkozat aláírásával tanúsítom, hogy az Intézmény IT biztonsági szabályait ismerem, és betartom. Kijelentem, hogy a munkavégzés során megismert bizalmas, személyes, különleges, valamint a szervezet titkát képező adatokat, információkat megőrzöm, az általam megismert adatok külső félnek nem adom ki. Amennyiben tudomásomra jut, hogy az IBSZ-ben leírt biztonsági szabályokat bárki megsérti, azt köteles vagyok írásban jelenteni a közvetlen felettesemnek. Tudomásul veszem, hogy amennyiben a jelen „Felhasználói Nyilatkozatban" leírtakat megszegem, úgy munkajogi, kártérítési és büntetőjogi felelősségem áll fenn.
Székesfehérvár, 2019. január … Nyilatkozó adatai:
…………………………………………………..
aláírás
10. számú melléklet
ADATFELDOLGOZÓI MEGÁLLAPODÁS
Az alábbi adatfeldolgozói megállapodás (a továbbiakban: „Megállapodás”) egyrészről a Gorsium Alapfokú Művészeti Iskola (székhelye: 8000 Székesfehérvár, Palotai út 51.; képviseli: Kissné Révfalvi Andrea intézményvezető), mint Megbízó (a továbbiakban: „Megbízó vagy Adatkezelő”), másrészről pedig a
…………………………………….. (székhelye: ………………………………………; cégjegyzékszám:
…………………………, adószám: ………………………..; képviseli ) (a
továbbiakban: „Megbízott vagy Adatfeldolgozó”)
(Megbízó és Megbízott együttesen: „Felek”, külön-külön: „Fél”) között jött létre alulírott napon és helyen az alábbiak tárgyában.
1. ELŐZMÉNYEK
1.1. A jelen Megállapodást a Felek között ……………….. napján,
……………………..szolgáltatások nyújtása tárgyában, határozatlan időtartamra megkötött szerződésre (a továbbiakban: „Szerződés”) és az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (továbbiakban: „Általános Adatvédelmi Rendelet”) 28. § cikkében foglaltakra tekintettel kötik meg.
Felek kijelentik, hogy amennyiben Megbízott a Szerződés alapján személyes adatok feldolgozását végzi, úgy a Felek a jelen Megállapodás rendelkezéseit tekintik irányadónak.
1.2. Jelen Megállapodás elválaszthatatlan részét képezi a Felek között létrejött Szerződésnek. Erre való tekintettel a jelen Megállapodásban nem szabályozott kérdésekre, így különösen a Megállapodás hatálya, felmondási ideje és annak feltételeire a Szerződés rendelkezései irányadóak.
2. MEGÁLLAPODÁS TÁRGYA
2.1. A Megbízó, mint Adatkezelő a jelen Megállapodás aláírásával megbízást ad Megbízott, mint Adatfeldolgozó részére, hogy Megbízó érdekében és utasításainak megfelelően a Szerződés alapján végzett tevékenységhez, szolgáltatáshoz kapcsolódóan személyes adatok feldolgozását végezze a jelen Megállapodásban, illetve annak 1. számú mellékletében meghatározottak szerint, amely megbízást Megbízott jelen Megállapodás aláírásával elfogadja.
2.2. A Felek megállapodnak, hogy a jelen Megállapodás teljesítése során Megbízó a kezelt adatok tekintetében adatkezelőnek, míg Megbízott adatfeldolgozónak minősül.
2.3. A Felek megállapodnak, hogy a jelen Megállapodásban foglalt kötelezettségek Megbízó általi megszegéséből eredő kárral vagy költséggel összefüggésben harmadik személyek által a Megbízottal szemben támasztott követeléssel vagy bármely igénnyel szemben köteles közvetlenül helytállni és Megbízottat kármentesen tartani, valamint Megbízottnak a fenti igényekkel összefüggésben keletkezett valamennyi kárát és költségét megtéríteni.
2.4. Megbízott kijelenti, hogy a feladat teljesítéséhez szükséges felkészültséggel, tapasztalattal rendelkezik, illetve, hogy szerződéses kötelezettségének nemcsak szakmailag, de
gazdaságilag is képes eleget tenni.
3. A MEGÁLLAPODÁS TELJESÍTÉSE
3.1. A Megbízott a személyes adatokat kizárólag a Megbízó írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy a magyar jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.
3.2. A Felek megállapodnak abban, hogy a jelen Megállapodás teljesítése során a Megbízó által adott, e-mail útján megküldött, személyes adatokat tartalmazó rendelkezéseket, utasításokat írásbeli utasításoknak tekintik.
3.3. Felek rögzítik, hogy az adatfeldolgozási műveletekre vonatkozó utasítások jogszerűségéért (így különösen a Megbízott által feldolgozott személyes adatok helyességéért és az azok feldolgozásához szükséges megfelelő jogalap meglétéért) a Megbízó felel. A Megbízott haladéktalanul tájékoztatja a Megbízót, ha úgy véli, hogy annak valamely utasítása sérti a magyar vagy az uniós adatvédelmi jogi rendelkezéseket.
3.4. A Felek megállapodnak abban, hogy a Megbízott írásban felhívja a Megbízó figyelmét minden olyan esetleges körülményre, amely nincs összhangban a hatályos jogszabályi rendelkezésekkel.
3.5. A Megbízó vállalja, hogy amennyiben a Megbízott teljesítéséhez adatok, információk, vagy egyéb nyilatkozatok szükségesek, úgy azokat igény esetén haladéktalanul, de legkésőbb a Szerződésben megjelölt határidőn belül átadja, illetve megadja a Megbízottnak.
3.6. Felek kijelentik, hogy a jelen Megállapodás alapján végzett tevékenységüket a mindenkor hatályos vonatkozó jogszabályok betartásával végzik.
3.7. A Megbízott kizárólag adatfeldolgozó tevékenységi körén belül, a Megbízó által meghatározott keretek között felelős a személyes adatok feldolgozásáért. Megbízott kizárólagosan felelős a személyes adatokon végzett mindazon adatkezelői cselekményéért, amelyeket a Megbízó utasításaitól eltérően, vagy azokon túlmenően végez.
3.8. A Megbízott adatfeldolgozói tevékenységének ellátása során a Megbízó írásban tett felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe, ezen túl is garantálja, hogy tiszteletben tartja az Európai Unió kötelező jogi aktusaiban és a magyar jogszabályokban foglalt, a további adatfeldolgozó igénybevételével kapcsolatos rendelkezéseket és feltételeket. Megbízó hozzájárul ahhoz, hogy a Szerződés megkötését megelőzően lefolytatott versenyeztetési eljárás során a Megbízott részéről megjelölt harmadik személyek is igénybevételre kerüljenek további adatfeldolgozóként.
3.9. Felek rögzítik, hogy a Megbízott köteles gondoskodni a feladatok teljesítése során az Általános Adatvédelmi Rendeletnek az adatkezelés biztonságára vonatkozó rendelkezéseiben rögzített adatkezelés biztonsági intézkedések meghozataláról, így különösen az általa tárolt adatok biztonságáról, köteles megtenni azokat a technikai és szervezési intézkedéseket, és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi követelmények teljesítése érdekében szükségesek.
A Megbízott a részére továbbított személyes adatokat a szükséges technikai és szervezési intézkedések meghozatala útján köteles védeni a jogosulatlan hozzáférés,
megváltozás/megváltoztatás, a nyilvánosságra hozás, a törlés, a sérülés, és megsemmisülés ellen. A Megbízott a jelen Megállapodás 1. számú mellékletében rögzített technikai és szervezési intézkedések meghozatalával teljesíti a jelen pontban foglalt kötelezettségét. Megbízott köteles továbbá az alkalmazott technikai és szervezési intézkedéseket a jelen Megállapodás teljesítése során a technológia mindenkori állása és az adatfeldolgozás körülményeinek alakulásához mérten megfelelően észszerű időközönként felülvizsgálni és a megfelelő szintű adatbiztonság érdekében a szükséges technikai és szervezési intézkedéseket végrehajtani.
A jelen Megállapodás 1. számú mellékletében rögzített ilyen intézkedések által biztosított adatbiztonsági szinthez képest alacsonyabb adatbiztonsági szintet biztosító intézkedéseket a Megbízott kizárólag a Megbízó előzetes írásbeli hozzájárulása alapján jogosult meghozni.
3.10. A Megbízott az adatfeldolgozói tevékenysége teljes időszaka alatt köteles megőrizni minden személyes adatot mindaddig, amíg adatkezelő azok törlésére nem utasítja. A Megbízott az adatkezelési szolgáltatás nyújtásának befejezését követően a Megbízó döntése alapján minden személyes adatot visszavonhatatlanul töröl vagy visszajuttat a Megbízónak, és törli a meglévő másolatokat, kivéve, ha számára az uniós vagy a magyar jog az személyes adatok tárolását írja elő.
3.11. Megbízó köteles az érintett személy kérelmére tájékoztatást adni az általa kezelt, illetőleg Megbízott által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
3.12. A Megbízott köteles segíteni a Megbízót az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok és magyar jogszabályok szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és a Megbízott rendelkezésére álló információkat.
3.13. A Megbízott a Megbízó rendelkezésére bocsát minden olyan információt, amely az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusokban és magyar jogszabályokban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a Megbízó által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
4. TITOKTARTÁS
4.1. Felek kötelesek minden, a másik Féllel kapcsolatos információt, dokumentumot bizalmasan, üzleti titokként kezelni, valamint szavatolják, hogy harmadik személyek részére ezen információkat, dokumentumokat nem adják ki. Ezeket az információkat a Felek kizárólag saját alkalmazottjaikkal, tanácsadóikkal, könyvvizsgálóikkal és a vállalatcsoportjukba tartozó társaságokkal oszthatják meg, akiknek titoktartási kötelezettségéért a Feleket kártérítési felelősség terheli.
4.2. A Megbízott biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
4.3. A titoktartási kötelezettség a Megállapodás fennállása alatt és azt követően is időkorlát nélkül fennáll.
4.4. Jelen Megállapodás bármely okból történő megszűnését követően Megbízott minden
Megbízóval, illetve a megbízással kapcsolatos iratot, dokumentumot, elektronikus adatbázist átad Megbízónak.
4.5. A titoktartási kötelezettséget bizonyítottan és felróhatóan megszegő Fél köteles megtéríteni a másik Felet ennek kapcsán ért összes kárt.
4.6. Nem vonatkozik a Felekre a fenti titoktartási kötelezettség azon tájékoztatók tekintetében, amelyeket az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok és magyar jogszabályok alapján kötelesek nyújtani az érintettek részére.
5. ZÁRÓ RENDELKEZÉSEK
5.1. A Megállapodás módosítása, kiegészítése csak írásos formában, a Felek cégszerű aláírásával történhet.
5.2. A jelen Megállapodás az aláírásának napján lép hatályba és a Szerződés hatályosságának időtartamára marad hatályban, a Szerződés bármely okból történő megszűnése esetén a jelen Megállapodás is automatikusan megszűnik.
5.3. Amennyiben a Megállapodás bármely rendelkezése érvénytelen, vagy a jövőben azzá válna, úgy az nem érinti a Megállapodás egyéb pontjainak érvényességét. Az érvénytelen rendelkezés helyére egy olyan rendelkezésnek kell kerülnie, amely a jogi lehetőségek keretében a Felek akaratához legközelebb esik.
5.4. Amennyiben a Felek bármelyike egy vagy több esetben nem, vagy csak késedelmesen tiltakozik a jelen Megállapodás valamely pontjának megszegése miatt, illetve a jelen Megállapodás biztosított bármely jogosultság érvényesítéséről egy vagy több esetben lemond, vagy azt csak késedelmesen, vagy egyáltalán nem érvényesíti, ez nem tekinthető a többi jogosultság érvényesítéséről való lemondásnak, vagy a szerződésszegésből, illetve bárminemű későbbi szerződésszegésből eredő igény érvényesítéséről való lemondásnak.
5.5. A Felek vállalják, hogy a jelen Megállapodás teljesítése során, illetve az ezzel kapcsolatban általuk megkötött szerződéses jogviszonyokban minden tőlük elvárhatót megtesznek annak érdekében, hogy a másik fél üzleti jó hírneve ne sérüljön, és neve ne szerepeljen jó erkölcsbe ütköző, ízléstelen, sértő vagy bármely, a másik félre vagy bármely közvetett vagy közvetlen tulajdonosára hátrányos módon vagy összefüggésben.
5.6. A Megállapodás nyelve a magyar. A Megállapodásra az irányadó jog a magyar jog. A Megállapodásban nem érintett kérdések tekintetében a Szerződés, a 2013. évi V. törvény (Ptk.), valamint az Általános Adatvédelmi Rendelet, az Info tv. és az egyéb adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok, valamint adatvédelmi tárgyú magyar jogszabályok vonatkozó rendelkezéseit tekintik irányadónak.
5.7. Felek a Szerződésből eredő vitáik esetén igyekeznek a felmerült problémákat tárgyalásos úton megoldani. Abban az esetben, ha ez nem vezet eredményre, értékhatártól függően alávetik magukat a Polgári perrendtartásról szóló 2016. évi CXXX. törvény általános szabályai szerint illetékes bíróság kizárólagos illetékességének.
5.8. Feleket képviselő személyek anyagi és büntetőjogi felelősségük tudatában kijelentik, hogy a Szerződés megkötésével kapcsolatosan képviseleti jogosultságuk semmiben sem korlátozott.
A Megállapodást a Felek előzetes megtárgyalás és egyeztetés után, mint szerződési akaratukkal mindenben megegyezőt az aláírásra felhatalmazott képviselőjük útján írták alá.
…………………………………t, 2018 napján.
Megbízó
Megbízott
1. számú melléklet
Az adatfeldolgozási tevékenység meghatározása
A Megbízott jelen Megállapodás alapján az adatfeldolgozással kapcsolatos feladatokat a következő célból látja el:
a Megbízó részére könyvelési, számviteli, pénzügyi feladatok végzése
A Megbízott adatkezelési tevékenységének jellege, az adatkezeléssel összefüggő tevékenysége:
könyvelés
Az adatkezelés időtartama:
a gazdasági év számviteli lezárásáig
A feldolgozott személyes adatok típusa: - Név
- Születési hely és idő
- Anyja neve
- Állandó lakcím
- Levelezési cím
- Személyazonosító igazolvány száma
- Telefonszám
- E-mail cím
- Adóazonosító
- TAJ szám
- Bankszámlaszám
Az érintettek kategóriái:
- Természetes személy
- Jogi személy természetes személy képviselői
A Megbízott által a személyes adatok és az adatfeldolgozói tevékenység biztonsága érdekében meghozott technikai és szervezési intézkedések leírása:
Elkülönített, külső – arra nem jogosult személy általi – hozzáférést kizáró elektronikus tárolás
